Cos'è il Vishing? Smascherare truffe e tecniche di Voice Phishing

Pubblicato: 2023-10-12
Spiegazione degli attacchi di vishing

Il vishing, un'insidiosa miscela di comunicazione vocale e tattiche di phishing, rappresenta una sfida formidabile poiché i truffatori affinano i loro metodi con una sofisticazione allarmante. In questo articolo, approfondiamo i suoi meccanismi, la manipolazione psicologica che impiega e le strategie vitali per il riconoscimento e la prevenzione, fornendo agli individui la conoscenza necessaria per navigare nelle acque precarie dell'inganno informatico basato sulla voce.

Cos'è il vishing?

Il vishing, o voice phishing, è una forma di attacco di ingegneria sociale in cui gli autori delle minacce utilizzano telefonate o messaggi vocali per indurre le persone a divulgare informazioni sensibili, come password, dettagli di carte di credito o numeri di previdenza sociale. Sfruttando la tendenza umana a fidarsi della comunicazione vocale, gli autori del vishing creano un falso senso di urgenza o paura, spingendo le vittime ad agire senza verificare l'identità del chiamante.

Poiché le persone continuano a favorire gli SMS, diventa fondamentale educarli a riconoscere e combattere il vishing, garantendo un panorama di comunicazione sicuro in un’era in cui una telefonata a volte può essere fuori dall’ordinario. Bilanciare la comodità degli SMS con la consapevolezza delle minacce vocali è essenziale per promuovere canali di comunicazione sicuri e preferiti.

Navigare nel panorama del phishing-smishing-vishing

Nato negli anni '90, il termine "phishing" descrive le tattiche utilizzate dai truffatori come "esca" per ingannare le vittime nel mondo digitale. Questo termine persiste ancora oggi e rappresenta truffe che coinvolgono l’ingegneria sociale per indurre gli individui a cadere preda di trappole ingannevoli.

Con la progressione della criminalità informatica sono emerse nuove terminologie come "smishing" e "vishing", che rientrano nella categoria più ampia del phishing. Gli attacchi smishing vedono i truffatori inviare SMS con l'obiettivo di convincere i destinatari a fare clic su un collegamento dannoso o a condividere informazioni personali tramite scambio di testo.

D’altro canto, il vishing incorpora la comunicazione vocale in qualche fase dell’attacco. L'obiettivo del messaggio iniziale è indurre una potenziale vittima a comporre un numero, consentendo agli aggressori di continuare il loro inganno o di confermare la proprietà del numero contattato.

Come funziona il vishing?

Gli attacchi di vishing sono operazioni complesse che implicano molto di più della semplice composizione di numeri casuali per avere successo. Immergiti nel dettagliato viaggio in quattro fasi di un attacco vishing di seguito:

Infografica su come funziona un attacco vishing

Fase 1: indagine

L'attacco inizia con gli autori delle minacce che effettuano ricerche approfondite sui loro obiettivi. In questa fase, potrebbero distribuire email di phishing, anticipando le risposte di potenziali vittime pronte a condividere i propri dati di contatto. L'utilizzo di software sofisticati consente loro di chiamare una moltitudine di persone, utilizzando un numero che condivide il prefisso delle loro vittime.

Fase 2: esecuzione della chiamata

Se una vittima viene ingannata da un'e-mail di phishing precedente, è probabile che sia meno sospettosa della chiamata in arrivo. A seconda dell’astuzia della tattica di vishing, la vittima potrebbe anticipare una chiamata, facilitando il compito degli hacker. Gli aggressori sfruttano la probabilità che le chiamate dai prefissi locali ricevano risposta.

Fase 3: Persuasione

Dopo aver stabilito il contatto, l'obiettivo dell'autore della minaccia si sposta sulla manipolazione degli istinti intrinseci della vittima di fiducia, paura, avidità e altruismo. Utilizzando un mix di queste tecniche di ingegneria sociale, rassicurano le vittime e potrebbero convincerle a:

  • Divulgare i dettagli bancari e della carta di credito

  • Condividere indirizzi e-mail

  • Trasferimento fondi

  • Inoltrare documenti riservati relativi al lavoro

  • Rivelare informazioni sul datore di lavoro

Fase 4: Culmine

Il viaggio del vishing non finisce qui. Armati delle informazioni acquisite, gli autori malintenzionati sono pronti a commettere ulteriori reati. Potrebbero esaurire le risorse bancarie della vittima, assumerne l'identità ed eseguire transazioni non autorizzate. Inoltre, potrebbero sfruttare l'e-mail della vittima per indurre i colleghi a rilasciare informazioni aziendali sensibili.

Metodi di vishing

I Visher impiegano varie tattiche per raggiungere i loro obiettivi ingannevoli. I metodi comuni includono:

  • Spoofing dell'ID chiamante : gli aggressori manipolano l'ID chiamante per far sembrare che sia un'entità attendibile, come una banca o un ente governativo, a chiamare.

  • Pretesto : l'aggressore crea uno scenario inventato o un pretesto per estrarre informazioni dal bersaglio.

  • Phishing IVR : i sistemi IVR (Automated Interactive Voice Response) imitano le aziende legittime per acquisire dati sensibili.

Esempi comuni di vishing

Poiché queste truffe diventano sempre più sofisticate, è essenziale riconoscere modelli e scenari comuni. Prima di approfondire i vari esempi di vishing, familiarizziamo con alcune delle tattiche più diffuse in modo da poter rimanere un passo avanti e salvaguardare le tue informazioni.

Truffa dell'IRS

I chiamanti si spacciano per agenti dell'IRS, sostenendo che la vittima deve pagare le tasse e rischia l'arresto a meno che non paghi immediatamente, in genere richiedendo il pagamento tramite buoni regalo o bonifici bancari. Questa variante spesso comporta messaggi automatizzati che denunciano discrepanze nelle dichiarazioni dei redditi e minacciano azioni legali, insieme allo spoofing dell'ID chiamante per imitare il contatto dell'IRS. È fondamentale verificare tali affermazioni direttamente con l'IRS ed evitare di impegnarsi con il truffatore.

Truffa del supporto tecnico

I truffatori si fingono agenti del supporto tecnico di aziende rispettabili, sostenendo che il computer della vittima ha un virus. Chiedono accesso remoto o pagamento per risolvere il problema inesistente.

Allarme frode bancaria

I truffatori fingono di appartenere alla banca della vittima, affermando che ci sono attività sospette sul loro conto. Chiedono dettagli dell'account e PIN per "verificare" l'identità della vittima e "proteggere" l'account. Invece di obbedire, è consigliabile interrompere la conversazione e contattare direttamente la banca utilizzando le informazioni di contatto dal loro sito ufficiale.

Truffe relative a lotterie o premi

Le vittime ricevono chiamate che le informano che hanno vinto un premio o una lotteria, ma che devono pagare tasse o commissioni in anticipo per richiedere il premio. La vigilanza e la verifica sono fondamentali per evitare di cadere preda di tali tattiche.

Truffe previdenziali

I chiamanti affermano di provenire dalla Social Security Administration, affermando che il SSN della vittima è stato sospeso a causa di attività sospette e chiedono informazioni personali per risolvere il problema. In particolare, la Federal Trade Commission identifica le telefonate come il metodo principale utilizzato dai truffatori che prendono di mira gli anziani.

Truffe di avvisi medici/assicurazioni

I truffatori offrono sistemi di allarme medico gratuiti o fingono di essere rappresentanti di assicurazioni sanitarie per estorcere informazioni personali e finanziarie alle vittime, prendendo di mira in particolare gli anziani.

La truffa dei nonni

La persona che chiama finge di essere un nipote in difficoltà, bisognoso di aiuto finanziario immediato, e chiede al nonno di non dirlo agli altri membri della famiglia.

Truffe di utilità

I truffatori, fingendosi rappresentanti di una società di servizi pubblici, affermano che il servizio della vittima verrà interrotto a meno che non venga effettuato un pagamento immediato.

Truffe sui contributi pubblici

Alle vittime viene detto che sono state selezionate per ricevere un sussidio governativo e che devono pagare una commissione o fornire i dettagli del conto bancario per ricevere i fondi.

Truffe nel recupero crediti

I chiamanti si fingono esattori, minacciando azioni legali a meno che la vittima non paghi un debito che in realtà non ha. È essenziale rimanere scettici, poiché i finanziatori e gli investitori legittimi non operano in questo modo né avviano contatti inaspettati.

riconoscere gli attacchi di vishing

Come riconoscere gli attacchi di vishing

Riconoscere il vishing può essere fondamentale per proteggersi dal cadere vittime di tali pratiche ingannevoli. Un aspetto fondamentale a cui prestare attenzione è l’audio durante la chiamata. La qualità audio della chiamata potrebbe essere scarsa, con rumori di sottofondo non in linea con un ambiente professionale.

Inoltre, gli attacchi di vishing spesso mostrano segni rivelatori:

  • Urgenza : il chiamante insiste per un'azione immediata, facendo pressione sulla vittima affinché condivida frettolosamente le informazioni.

  • Richiesta di informazioni sensibili : le organizzazioni legittime raramente chiedono dati personali per telefono.

  • Chiamante sconosciuto : ricevere chiamate da numeri sconosciuti o inaspettati può essere un campanello d'allarme.

Come prevenire il vishing

La difesa dal vishing richiede un approccio articolato. Per proteggerti dal diventare una vittima, assicurati di rispettare le seguenti precauzioni:

Proteggi le informazioni sensibili

Astenersi dal confermare o divulgare informazioni sensibili per telefono. Ricorda, le banche o le agenzie governative autentiche non richiederanno mai i dati personali tramite una chiamata.

Sii attento

Esamina il linguaggio e il comportamento del chiamante. Prestare attenzione a non rivelare informazioni personali e prestare attenzione a eventuali minacce o richieste urgenti avanzate durante la chiamata.

Filtra le tue chiamate

Se chiama un numero sconosciuto, è più sicuro lasciarlo passare alla segreteria. Gli ID chiamante possono essere manipolati, quindi verifica l'identità del chiamante ascoltando il messaggio prima di decidere se richiamare.

Limita le informazioni condivise

Se dovessi rispondere, evita di fornire dettagli su di te, sul tuo posto di lavoro o sulla tua posizione.

Informarsi e verificare

Se il chiamante sta commercializzando un prodotto o offrendo premi, chiedi prova della sua identità e affiliazione. Conferma le informazioni fornite prima di condividere le tue. Termina la chiamata se esitano a obbedire.

Registrati con il registro Non chiamare

L'inserimento del tuo numero nel registro delle chiamate da non chiamare dissuaderà gli operatori di telemarketing, rendendo sospetta qualsiasi chiamata da parte di tali entità poiché le aziende legittime di solito rispettano questo elenco.

Fai attenzione alle richieste ufficiali

Tieni presente che i legittimi superiori o i rappresentanti delle risorse umane non richiederanno trasferimenti di denaro, dati sensibili o invio di documenti attraverso canali personali.

Ignora le comunicazioni sospette

Non rispondere alle e-mail o ai messaggi sui social media che richiedono il tuo numero di telefono. Tali comunicazioni possono essere il precursore di attacchi mirati. Segnala eventuali messaggi sospetti al tuo team IT o di supporto.

Educa te stesso

Cerca in modo proattivo informazioni, partecipa a programmi di sensibilizzazione e utilizza risorse online per familiarizzare con le ultime minacce di vishing e le misure protettive.

Le aziende che utilizzano il marketing via SMS possono svolgere un ruolo nell’educare i consumatori sul vishing, fornendo informazioni su come riconoscere e rispondere a potenziali truffe ed evidenziando le differenze tra comunicazione legittima e tattiche ingannevoli.

Quali misure dovresti intraprendere in caso di violazione?

Se ti ritrovi ad aver involontariamente condiviso i tuoi dati bancari con un sospetto truffatore, è essenziale agire immediatamente.

Rivolgiti alla tua banca, alla società emittente della carta di credito, al tuo istituto finanziario o al contatto Medicare pertinente. Informarsi sulla possibilità di bloccare transazioni sospette e prevenire ulteriori addebiti non autorizzati. Per migliorare la sicurezza e proteggerti da accessi non autorizzati, valuta la possibilità di modificare i numeri di conto.

Successivamente, presenta un reclamo alla Federal Trade Commission o all'Internet Crime Complaint Center dell'FBI per l'azione appropriata.

Conclusione

Sebbene ingannevole e potenzialmente dannoso, il vishing può essere efficacemente mitigato attraverso la vigilanza, l’educazione e l’uso giudizioso della tecnologia. Rimanendo informati e praticando cautela, gli individui e le organizzazioni possono contrastare i tentativi dei visher, garantendo la sicurezza delle informazioni sensibili.